直击黑帽大会第一天:HTTPS再爆风险,安卓系统欺骗认证严重

直击黑帽大会第一天:HTTPS再爆风险,安卓系统欺骗认证严重

黑客专题访客2021-10-12 8:24:005965A+A-

  一年一度的BlackHat大会于北京时间8月7日凌晨在美国内华达州拉斯维加斯召开。安恒信息总裁范渊率领安全技术达人们亲临现场,与来自世界各国的网络安全专家进行深入的探讨和交流。

  未来几天,小安会陆续整理我们在BlackHat大会上的见面,以飨读者。

  移动安全是今年BlackHat大会一个重要议题,有关移动安全方面的议题很多,今日大会第一天,HTTPS再爆风险,安卓系统欺骗认证严重性史无前例。下面挑选几个比较具有代表性的议题供大家参考。

  Android FakeID 漏洞

  之前网上已经公布了FakeID的漏洞, 但没有公布具体的细节。而这次漏洞的发现者Jeff为我们讲解了攻击的原理。利用证书链认证的安全问题,绕过了证书的校验,并能覆盖掉之前安全的应用。Jeff在现场为大家做了演示: poc没有申请任何权限,最后获得了一个远程控制的shell, 完全控制了android操作系统。

  TrustZone的安全问题

  ARM TrustZone 技术是系统范围的安全方法,针对高性能计算平台上的大量应用,包括安全支付、数字版权管理 (DRM)、企业服务和基于 Web 的服务。 TrustZone 技术与 Cortex-A 处理器紧密集成,并通过 AMBA AXI 总线和特定的TrustZone 系统 IP 块在系统中进行扩展。此系统方法意味着可以保护安全内存、加密块、键盘和屏幕等外设,从而可确保它们免遭软件攻击。 而手机大量使用 arm芯片, 都会存在这样的问题。 演讲者利用一个整型溢出漏洞成功的修改了特定内存的数据,成功攻击了TrustZone, 并解锁了android 的bootloader

  移动设备管理软件可以访问广泛的数据,而这可能会因为MDM产品中的漏洞而遭到泄漏。NTT COM Security公司研究人员Stephen Breen展示了如何执行这种攻击,并且列出了允许这种漏洞利用的漏洞。他表示,有些漏洞在一些商业MDM产品中非常常见。

  此外,Google glass作为新兴的产品,很受关注, 其中一个议题《my google glass see your password》讲述了应用程序可以诱使视频用户输入密码到触摸屏,并对其分析以窃取密码,其原理并不复杂,但思路很有趣,利用googleglass的拍照摄像功能获取按键的视频,然后通过视频处理的方式获得对应的按键从而获得ipad等设备的解锁密码。并且据说在2m内的成功率100%,3m内的成功率也有80%-90%

  云计算是当下最热门IT技术之一,关于云计算的安全这两年也是业内非常重视的热点之一。在今年的Blackhat第一天的会议上就有两个关于云计算安全的议题。

  第一个议题是来自w3af的Andres Riancho给大家带来了《PIVOTING INAMAZON CLOUDS》主题演讲,针对目前越来越多的应用程序被部署到Amazon云上,那Amazon云基础平台是否安全?传统的安全测试手段是否适用云计算平台测试 Andres Riancho给大家的答案是否定的。Andres Riancho在现场给大家演示和详细讲解了用于对Amazon云环境进行安全测试的工具——nimbostratus。这个工具从测试AWS配置入手,发现多个Amazon安全问题。目前国内的云计算服务商也越来越多,这些云服务提供商的云环境是否足够安全,今天的议题可能会给国内安全人员更多的思考和实践。

  第二个关于云计算安全的议题是Rob Ragan和Oscar Salazar带给大家的《CLOUDBOTS:HARVESTING CRYPTO COINS LIKE A BOTNET FARMER》主题演讲,当计算机犯罪分子开始使用众多的云服务进行恶意活动的时候,会给我们的社会带来什么危害。这个主题就是探讨利用免费试用云服务的计算能力,存储和预制黑客攻击环境。为了注册免费试用账户伪造大量电子邮件地址,然后通过这些邮箱注册免费试用云服务,继而通过云环境构建僵尸网络,这将对传统防范僵尸网络的技术带来严峻的挑战。并且通过免费试用云服务组建僵尸网络,只是一种方式,还有其它很多攻击手段可以利用。

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 5条评论
  • 弦久常安2022-06-01 07:17:52
  • x-A 处理器紧密集成,并通过 AMBA AXI 总线和特定的TrustZone 系统 IP 块在系统中进行扩展。此系统方法意味着可以保护安全内存、加密块、键盘和屏幕等外设
  • 青迟饮湿2022-06-01 07:26:46
  • 对Amazon云环境进行安全测试的工具——nimbostratus。这个工具从测试AWS配置入手,发现多个Amazon安全问题。目前国内的云计算服务商也越来越多,这些云服务提供商的云环境是否足够安全,今天的议题可能会给国内安全人员更多的思考和实践。  第二个关于云
  • 可难眉妩2022-06-01 13:42:07
  •   移动安全是今年BlackHat大会一个重要议题,有关移动安全方面的议题很多,今日大会第一天,HTTPS再爆风险,安卓系统欺骗认证严重性史无前例。下面挑选几个比较具有代表性的议题供大家参考。  Android FakeID 漏洞  之前网上已经公布了F
  • 性许酒废2022-06-01 14:04:16
  • MER》主题演讲,当计算机犯罪分子开始使用众多的云服务进行恶意活动的时候,会给我们的社会带来什么危害。这个主题就是探讨利用免费试用云服务的计算能力,存储和预制黑客攻击环境。为了注册免费试用账户伪造大量电子邮件地址,然后通过这些邮箱注册免费试用云服务,继而通过云环境构建僵尸网络,这
  • 语酌城鱼2022-06-01 14:08:10
  • lackHat大会一个重要议题,有关移动安全方面的议题很多,今日大会第一天,HTTPS再爆风险,安卓系统欺骗认证严重性史无前例。下面挑选几个比较具有代表性的议题供大家参考。  Android FakeID 漏洞  之前网上已经公布了FakeID的漏洞, 但没有公布具体的细节

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理